V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Shieffan  ›  全部回复第 27 页 / 共 28 页
回复总数  544
1 ... 19  20  21  22  23  24  25  26  27  28  
@yakczh 根证书放在你的客户端能读到的地方,我没干过android...更具体的我就不晓得了
2013-12-18 13:54:45 +08:00
回复了 yangyouzhi 创建的主题 VPS 求推荐个虚拟空间或vps? 用于wordpress
淘宝买个20块的虚拟visa,然后去AWS开通一年的EC2 micro instance, 首年免费~ 选新加坡或者东京机房,国内速度还不错。
colorama
类比一下,来电显示号码这个东西就譬如HTTP头里的X-Forwarded-For,完全是可以设定的,而且不能反应客户端的真实ip.

更具体的可以看这个http://drops.wooyun.org/tips/342

说白了,这个东西从技术设计上就是不安全的
2013-12-17 22:01:50 +08:00
回复了 ctyun 创建的主题 投资 外汇和贵金属,有什么好的智能交易系统么?
铜球贵金属的,俺的黄金白银被套了半年了,买在了山顶上,现在还在套着,求推荐好的EA用来看盘&模拟
@est 其实还好吧,就算是找CA签名的证书,私钥丢了吊销后不知道多久才会更新吊销列表到客户端,移动平台就更别提了。如果是自己维护的客户端,更新个新版本使用新的根证书就行了。
2013-12-17 18:34:31 +08:00
回复了 kran 创建的主题 程序员 基于cookie存储的加密session有什么风险?
@wodemyworld 前段时间不是有那个么,利用路由器漏洞篡改路由器dns到私有dns server,然后把cnzz,ga等的dns指向一个私有服务器,替换统计代码为点击劫持广告代码。其实它们完全可以更恶意更狠点。。
你的手机客户端要能读到你用于自签名的根证书。。那就是安全的。
2013-12-17 17:32:17 +08:00
回复了 kran 创建的主题 程序员 基于cookie存储的加密session有什么风险?
”如果别人能通过某种方法得到了一个管理员的所有cookie键值,那是不是全部暴露了?
一般用什么方法阻止这种伪造cookie?“

@kran 除了将session id的生成算法加入客户端特征(ip,浏览器ua等),我想不出其它办法。否则没道理同样的cookie我转移个地方就不能用了。
2013-12-17 16:57:20 +08:00
回复了 kran 创建的主题 程序员 基于cookie存储的加密session有什么风险?
@kran 所以说你这问题就是判断session id是否非法啊,这跟你session内容怎么存一点儿关系都没啊?无论你session内容是存在服务器还是加密存在cookie里,你都是要把session id存在cookie里呀
2013-12-17 16:42:03 +08:00
回复了 kran 创建的主题 程序员 基于cookie存储的加密session有什么风险?
风险的话,既然是session(会话),那么它暗含的意思里就是时效短,你设置cookie里的session id的生命周期为浏览器生命周期,这样可以有效防窃取。

我觉着LZ的意思是要把session当cookie用,如果你服务端不维护一个有效session数据库,那你这session就是纯粹的cookie啊,要提高cookie的安全性,就那几种方法,http only防止被js代码获取,有效防止XSS; session id由客户端ip, 浏览器特征等客户端特征进行加密生成。

安全性跟便捷性往往就是冲突的,只能看你取舍了。
2013-12-17 16:29:51 +08:00
回复了 kran 创建的主题 程序员 基于cookie存储的加密session有什么风险?
@kran 我是觉得你这问题问的不对,什么叫“基于cookie存储的加密session”,除了直接把session id写在url里外,其它类型的session不都是基于cookie的么?
2013-12-17 15:10:15 +08:00
回复了 kran 创建的主题 程序员 基于cookie存储的加密session有什么风险?
@kran 如果cookie被劫持的话无论你是服务端存储session还是cookie存session,那还不是一样的暴露?当然除非你的session id是写在url里的token。
2013-12-17 00:03:43 +08:00
回复了 MC 创建的主题 VPS VPS的非主流用途?
@MC 这个就是蛋疼之处,现在美盘btc基本是被庄家控制了,交易基本毫无逻辑。带着国盘也乱跑。所以我程序也基本是靠感觉的。。。
2013-12-16 23:49:03 +08:00
回复了 MC 创建的主题 VPS VPS的非主流用途?
抓取btcchina的交易记录,自动分析成交量及k线,提供止损卖出以及买入提醒。
2013-12-09 18:20:04 +08:00
回复了 hustlzp 创建的主题 Python Flask中如何记录user的最后在线时间?
session 设一个短的过期时间,每次设置session的时候写入登录时间及IP到redis
简单粗暴但稳定。效率(并发性能)一般,进程所耗资源相对大,系统内可fork的进程数有限,而且进程频繁切换耗费比较大,特别是高IO的进程,效率会大大降低。

一句话,如果并发要求没那么高而且是高CPU的任务,用多进程比较合理。
如果是高IO,高并发的,建议用其它并发模型。
2013-08-19 15:08:23 +08:00
回复了 moxuanyuan 创建的主题 程序员 大家如何看待软件中使用P2P技术的?
PPTV PPS,有多少带宽,吃你多少带宽
2013-08-16 23:23:25 +08:00
回复了 sgissb1 创建的主题 问与答 小屌丝,想做一点理财
@sgissb1 还好,现在的理财产品都有差不多确定的收益率,但是就是门槛比较高,一般要10W以上。

贵金属交易现在是T+0的,随买随卖,至于是否被套,完全取决于投资者心理与操作。相对其它投资途径,贵金属属于中等风险,比起股票什么的风险要低不少。

基金公司靠谱的少,不靠谱的,圈钱的居多。。
1 ... 19  20  21  22  23  24  25  26  27  28  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5332 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 09:04 · PVG 17:04 · LAX 01:04 · JFK 04:04
Developed with CodeLauncher
♥ Do have faith in what you're doing.